Le Canada ciblé par une cyberattaque d'envergure internationale

Deux agences gouvernementales canadiennes, l'Agence mondiale antidopage et une entreprise de services TI du pays sont au nombre de 72 organisations visées par une cyberattaque d'envergure internationale qui s'est échelonnée sur plus de cinq ans.

L'entreprise de services de sécurité McAfee, achetée par Intel il y a environ un an pour un montant de 7,68 milliards de dollars américains, a mis au jour une attaque informatique d'une ampleur jamais vue jusqu'à présent au terme d'une enquête amorcée à la mi-2006.

L'Organisation des Nations Unies (ONU), des agences gouvernementales militaires américaines, sud-coréennes, taiwanaises, vietnamiennes; des entreprises de télécommunications, de services TI, de construction et des comités olympiques de quelques pays… La liste des victimes est impressionnante.

Les résultats de l'enquête baptisée Operation Shady RAT (Ou RAT signifie Remote Access Tool) donnent froid dans le dos. Depuis 2006, les pirates auraient réussi à infiltrer au moins 72 organisations situées dans 14 pays pendant des périodes allant de 1 à 28 mois.

Le Canada visé

Au Canada, McAfee précise que l'entreprise de services TI, dont l'identité n'a pas été révélée, a été infectée en juillet 2008 pour une période de quatre mois, que l'Agence mondiale antidopage a été infectée en août 2009 pour une période de 14 mois et que les deux agences gouvernementales ont été infectées en octobre 2009 et en janvier 2010 durant six et un mois respectivement.

Dans un blogue, Dmitri Alperovitch, vice-président des services de recherches de menaces informatiques chez McAfee, détaille comment l'entreprise de services de sécurité a réussi à infiltrer le groupe de cybercriminels, ce qui lui a permis de commencer à collecter des données, en se connectant à un « centre de commandes. »

L'enquête s'est amorcée à la mi-2006, mais McAfee se dit convaincue que les cyberespions opéraient déjà depuis un bon moment. D'autres organisations ont été affectées par cette attaque informatique, mais l'entreprise dit ne pas avoir collecté suffisamment de preuves pour pouvoir les identifier formellement.

L'hameçonnage comme point de départ

Le procédé était somme toute assez simple. Les cybercriminels envoyaient un courriel d'hameçonnage à un individu qui possédait les accès recherchés au sein d'une organisation. Lorsque l'individu en question ouvrait le courriel, un logiciel malveillant s'installait sur son ordinateur. Ce logiciel exécutait ensuite plusieurs procédures afin d'établir la communication avec le centre de données central. Une fois le contact établi, des individus s'empressaient d'installer des logiciels malveillants sur d'autres ordinateurs afin d'augmenter leur emprise sur le réseau tout en soutirant les données clés pour lesquelles ils étaient venus.

« Ce dont nous avons été témoins au cours des cinq ou six dernières années n'est rien de moins qu'un transfert sans précédent de richesse – Secrets d'État, code source, bases de données, archives de courriels, plans de négociation et d'exploration dans l'industrie pétrolière et gazière, contrats légaux, configurations de SCADA (Systèmes de télésurveillance et d'acquisition de données), schémas et bien plus ont pris la route des archives des cybercriminels », affirme Dmitri Alperovitch.

Dangers pour l'économie des pays visés

Ce qui est advenu de toutes ces données demeure une question sans réponse. Toutefois, elles pourraient avoir servi à la conception de meilleurs produits, ou pour battre un compétiteur pour l'obtention d'un contrat après lui avoir volé son « plan de match ». En fin de compte, selon McAfee, une cyberattaque du genre peut affecter non seulement les entreprises visées, mais également l'ensemble de l'économie d'un pays en provoquant un transfert d'emplois d'une partie du monde à une autre devenue soudainement plus compétitive; sans oublier les risques pour la sécurité nationale lorsque des informations militaires sont subtilisées.

McAfee se dit intriguée par le fait que des organismes à but non lucratif, de même que des comités olympiques, incluant le Comité International Olympique (CIO) et l'Agence mondiale antidopage, soient au nombre des victimes. De l'avis de l'entreprise de services de sécurité, cela pourrait laisser entendre qu'un État est derrière les intrusions, puisqu'aucun bénéfice économique ne peut être tiré de telles attaques.

Les États-Unis en tête

Les données compilées par McAfee soutiennent que la cyberattaque a fait 49 victimes aux États-Unis, quatre au Canada, trois en Corée du Sud et à Taïwan, deux au Japon, en Suisse et au Royaume-Uni et une en Indonésie, au Vietnam, au Danemark, à Singapour, à Hong Kong, en Allemagne et en Inde.

Les résultats de l'enquête font dire à M. Alperovitch qu'il faut classer les organisations de classe mondiale dans deux catégories : « Celles qui savent avoir été victimes de cyberespionnage et celles qui ne le savent pas encore ».

Source: Direction Informatique